Académique Documents
Professionnel Documents
Culture Documents
Optimisation de la sécurité
d’entreprise via la surveillance du
réseau et des applications
Grâce au déploiement d’outils performants
d’analyse du réseau et des applications au sein
Table des matières
Mode de fonctionnement de
Visual UpTime Select . . . . . . . . . . . . . . . . . . . . . . . 8
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Les technologies de l’information ont modifié de façon fondamentale la majorité des entreprises. Les processus
d’information et de système d’information constituent un atout essentiel ainsi qu’un différenciateur concurrentiel
fondamental. La perte ou la compromission de ces informations (ou de la capacité à les utiliser) représente un risque
important pour la valeur actionnariale. Elle est bien souvent d’une nature hautement sensible et confidentielle et doit
être sauvegardée afin de protéger les relations avec les clients.
Des réglementations qui ont un impact sur l’informatique et affectent presque toutes les entreprises sont désormais en
place et d’autres se profilent à l’horizon. L’une des réglementations les plus mentionnées est la loi Sarbanes-Oxley de 2002,
qui s’applique à toutes les entreprises à la valeur négociée sur les marchés publics et se focalise essentiellement sur la
gouvernance financière de l’entreprise. Dans la mesure où les entreprises modernes dépendent beaucoup de l’informatique
pour la comptabilité, la loi Sarbanes-Oxley contient également des dispositions obligatoires au sujet des contrôles
informatiques et de la sécurité.
Même sans compter les amendes, les poursuites et les peines de prison, les coûts d’une sécurité informatique inadéquate
sont importants. Si l’on en croit un article récent paru dans le magazine Optimize, les coûts indirects des incidents de
sécurité informatique (ventes perdues, détérioration des relations avec la clientèle et dommages légaux, par exemple)
dépassent largement les dépenses directes en matière de personnel et d’équipement de sécurité. L’étude indique que les
délits informatiques impliquant une violation de la confidentialité (divulgation d’informations médicales ou financières,
par exemple) ont causé une diminution moyenne de plus de 5 % de la valeur marchande de l’entreprise de la victime.1
La perception du marché est qu’un abus de confiance se convertira directement en perte de futurs revenus car les clients
s’adresseront ailleurs.
Une autre étude menée auprès de 162 entreprises par le cabinet d’étude Aberdeen Group a révélé qu’une entreprise
moyenne perd chaque année deux millions de dollars de revenus en raison d’attaques sur Internet. Les entreprises sont
Le message est clair : toutes les entreprises connaîtront à un moment ou à un autre une attaque réussie, qu’elles s’en
rendent compte ou pas. Alors, comment peuvent-elles se protéger ?
Les attaques peuvent venir de partout. L’essentiel du battage médiatique autour des solutions de sécurité actuelles
se focalise toujours sur le périmètre du réseau. La plupart des attaques passent néanmoins par la grande porte et ne
rencontrent jamais le périmètre du réseau.
Exemple :
• Un employé ramène une disquette infectée de son ordinateur à domicile pour mettre à jour les derniers
pronostics du football.
• Un intérimaire ouvre une session avec un ordinateur portable infecté.
• L’ordinateur infecté d’un fournisseur se fixe par inadvertance sur un point d’accès sans fil indésirable de votre
réseau lors de sa participation à une réunion dans votre salle de conférence.
• Un ancien employé mécontent laisse derrière lui une bombe à retardement.
Attendez-vous à une brèche de vos défenses. Etablissez le meilleur périmètre de défense que vous puissiez vous
permettre. Installez les pare-feu les plus sophistiqués qui soient, des mécanismes d’authentification, des systèmes
de détection des intrusions, des filtres des courriers électroniques et autres RPV pour des communications à distance
sécurisées. Exécutez le dernier logiciel antivirus en date comme dernière ligne de défense. Configurez-les de façon aussi
conservative que votre entreprise peut le supporter et que votre patience le permet. Partez du principe que toutes vos
défenses soigneusement élaborées seront débordées par un élément aussi simple qu’une nouvelle façon de déguiser
l’attaque d’un ver porteur d’un cheval de Troie sous la forme d’un courrier électronique ou encore qu’un employé bien
intentionné qui utilise un élément jugé inoffensif. Que faire alors ?
Dans le domaine de la sécurité informatique, les signes reconnaissables d’une attaque sont souvent désignés sous le nom
d’« indicateurs ». Ces signes comprennent des preuves manifestes d’une attaque, comme par exemple des graffiti à l’écran
ou sur le site Web, mais aussi des preuves moins évidentes, telles que la modification de fichiers (indicateurs de fichier) et
d’entrées dans le fichier journal d’un serveur (indicateurs système). Tous ces indicateurs apparaissent « après les faits ». Ils
indiquent que les dégâts sont déjà là. Le dernier type d’indicateur est l’indicateur réseau. Les indicateurs réseau sont les
signes d’une attaque qui sont visibles sur le réseau même et qui peuvent vous avertir assez tôt que quelqu’un ou quelque
chose tente d’attaquer lorsqu’il est encore temps de réagir.
Pour finir, examinez les volumes de trafic sur les liaisons clés de votre réseau. Les volumes de trafic sont-ils plus élevés
pendant ce qui constitue normalement les heures de pointe ? Certains sites génèrent-ils davantage de trafic que ce à quoi
vous vous attendez ? Il peut s’agir là des signes d’activités indésirables qui pourraient être liées à une attaque.
3. Analysez les différences. Prenez garde de ne pas rationaliser les différences entre le référentiel et les conditions
actuelles. L’une de ces différences pourrait constituer un avertissement préalable d’un problème plus sérieux. Prenez des
mesures pour enquêter à ce sujet. Il suffit parfois simplement de patienter un court instant pour voir si les niveaux de
trafic retournent à la normale. Contactez un responsable de service afin de savoir s’ils ont déployé un nouveau serveur
ou une nouvelle application. Sans en alerter le service informatique, certains responsables informatiques prennent des
mesures sans poser de questions : ils bloquent les nouveaux serveurs et applications qui apparaissent sans avertissement,
conscients que si leur existence est légitime, leurs propriétaires les contacteront bien assez tôt.
4. Mettez le référentiel à jour. Vos systèmes, réseaux et applications évoluent chaque jour. Cette complexité a permis la
création de brèches où les attaquants se sont engouffrés et sur lesquelles ils comptent pour couvrir leurs traces. Une mise
à niveau périodique de votre référentiel est nécessaire pour ajuster vos processus de détection. C’est aussi un bon moment
pour identifier les modifications non intentionnelles et non autorisées apportées à votre infrastructure. Des outils qui
surveillent en permanence les activités de votre réseau et qui en conservent un historique automatisent en grande partie
ce processus pour vous, mais vous devez toujours l’examiner d’un œil critique et le valider vous-même.
En plus d’utiliser le référentiel pour détecter les indicateurs réseau d’une attaque, vous pouvez également utiliser
différents types de déclencheurs. Il s’agit d’une ressource réseau réelle ou virtuelle qui vous envoie une alarme à chaque
fois que des conditions particulières sont réunies. Si vous savez quelles activités sont normales dans votre environnement,
vous pouvez concevoir de simples déclencheurs pour détecter la présence de certains types d’intrus en cas d’activité
anormale. Choisissez soigneusement ces déclencheurs, pour que des applications légitimes et des individus honnêtes ne
risquent pas de les déclencher. Considérez-les comme l’équivalent réseau de l’alarme déclenchée en cas de braquage d’une
banque, lorsque le billet du dessous est ôté du tiroir-caisse.
Les fonctionnalités automatiques de génération d’alarme de certains équipements et sondes réseau rendent aisée la
configuration de déclencheurs. Une fois configurés, les agents vous alerteront lorsque les conditions de déclenchement
sont remplies sur les segments réseau surveillés. Choisissez les guides de déclenchement en fonction de vos connaissances
de votre environnement applicatif, de votre référentiel et du mode de fonctionnement des attaques. A titre d’exemple,
une tactique courante utilisée par de nombreux vers consiste à envoyer des courriers électroniques au moyen d’un relais
SMTP interne d’acheminement du courrier pour atteindre l’extérieur. Si vous n’utilisez pas encore l’adresse courante de
type « mail.votredomaine.com » souvent visée par ces vers, vous pouvez ajouter une fausse entrée à cet effet à votre
DNS interne et bloquer tout le trafic SMTP (tcp/25) vers cette destination. Vous pouvez également définir des déclencheurs
sur toutes les activités de sonde pour certaines des portes dérobées les plus populaires ainsi que d’autres adresses IP et
ports vulnérables que les attaquants ont tendance à utiliser.
La recherche de réponse à ces questions devrait commencer par une analyse de l’historique du trafic réseau. Comment l’attaque
a-t-elle d’abord été détectée et à quel endroit ? Existe-t-il une preuve que l’attaque était déjà en action auparavant et peut-être
à d’autres endroits mais que d’une façon quelconque elle n’a pas été décelée ? Il y a des chances que le point d’origine se trouve
à proximité de l’endroit où les premiers signes de l’attaque ont été détectés. Si vous parvenez à identifier le point d’origine,
n’hésitez pas à le déconnecter, si possible. Dans le cas contraire, il pourrait s’avérer pratique de mettre en quarantaine la branche
du réseau à l’origine de l’attaque afin de parvenir à une certaine amélioration si l’attaque ne s’est pas trop propagée. Votre
exposition à d’autres attaques s’en trouvera également limitée, ainsi qu’une réinfection éventuelle si le point d’origine présente
des points faibles qui sont exploités.
Pour répondre rapidement à ces questions et particulièrement pour déterminer la façon dont l’attaque est menée à bien et sa
distance de progression, vous devrez utiliser des outils d’analyse réseau. Si le malfaiteur a impliqué un agent connu, votre
logiciel antivirus à jour l’aurait presque certainement détecté à ce stade. Dans le cas contraire, vous êtes probablement confronté
à un mutant qui n’a pas encore été signalé ou à une attaque de pirate. Grâce à l’analyse du flux applicatif, l’établissement d’un
récapitulatif du trafic sur les liaisons et entre les extrémités pour exposer les schémas anormaux devient un jeu d’enfant. L’analyse
de l’utilisation des liaisons et des top émetteurs (Top Talkers) vous permet d’effectuer le suivi des victimes les plus actives. Une
fois l’infection dans votre ligne de mire, la capture et l’analyse des trames infectées peuvent être la clé de votre salut.
Non seulement vous devez acquérir des outils qui vous apportent les informations
nécessaires, mais vous devez également les déployer à l’avance aux endroits adéquats. Si votre visibilité est réduite à
une seule portion du réseau, votre
Vous souvenez-vous du principe de planification de réponse aux incidents qui dit que réponse ne peut pas vraiment
« les attaques peuvent venir de partout » ? Si votre visibilité est réduite à une seule commencer à limiter les dégâts avant
que l’infection n’atteigne ce point.
portion du réseau, votre réponse ne peut pas vraiment commencer à limiter les dégâts
avant que l’infection n’atteigne ce point. Avec un peu de chance il ne s’agit pas de votre
site principal. Un système d’analyse distribuée qui vous fournit une visibilité de tous vos sites distants constitue le meilleur outil,
aussi bien pour une détection précoce que pour le contrôle des dégâts. Une façon rentable d’aborder la fonctionnalité d’analyse
distribuée consiste à l’intégrer à l’infrastructure du réseau. En choisissant un équipement réseau doté de fonctions d’analyse qui
répondent à vos besoins en termes de sécurité et d’activités quotidiennes, vous bénéficiez de fonctionnalités plus puissantes et
mieux intégrées à un prix plus réduit.
Après avoir réparé les systèmes compromis et endommagés, fermez les brèches exposées en suivant les étapes prévues
dans la phase « Limitation des dégâts ». C’est aussi un bon moment pour mettre à jour vos procédures de planification et
de surveillance en fonction de ce que vous avez appris. Lorsque vous êtes prêt à remettre l’équipement en ligne, nous vous
recommandons de procéder par étapes en utilisant vos outils de surveillance réseau pour rechercher des signes d’infection
ou de certaines traces d’infection qui pourraient encore être présentes.
Quel que soit leur mode de déploiement, les agents Visual UpTime Select fournissent une inspection des trames en
profondeur pour toutes les données circulant à proximité afin de récolter des informations détaillées au sujet de
l’utilisation et des performances des applications. Les agents chargent ces données sur un serveur Visual UpTime Select
qui conserve, analyse et présente un aperçu complet de l’utilisation du réseau.
La base de données du serveur permet de bénéficier d’aperçus récapitulatifs à l’échelle du réseau qui fournissent un
compte-rendu complet de toutes les applications présentes sur tout le réseau, y compris les inconnues. Conservées
historiquement, ces données constituent la base de votre référentiel d’utilisation réseau en détaillant tous les
facteurs clés :
• Serveurs et clients
• Protocoles utilisés
• Protocoles les plus utilisés
• Sources et destinations les plus utilisées, y compris les protocoles et les volumes de trafic
• Protocoles et volumes de trafic de site à site
Muni de cette compréhension détaillée des schémas d’utilisation de votre réseau, vous pouvez demander à Visual UpTime
Select de vous avertir en cas d’anomalie au niveau du trafic et des schémas d’utilisation, où qu’elle se produise. Pour
automatiser divers aspects de votre réponse en cas de notification et d’incident, vous pouvez exporter ces avertissements
vers des systèmes tiers de gestion d’événements et de dépannages tels que Remedy.
Bon nombre des clés de mise en œuvre de votre plan de réponse aux incidents se trouvent dans les outils qui vous
fournissent des fonctionnalités d’analyse et de surveillance de votre réseau à l’échelle de l’entreprise. Utilisez un référentiel
périodique pour être au courant du mode de fonctionnement habituel de votre réseau. Vous apprenez ainsi ce qu’il faut
chercher. Les entreprises qui effectuent des analyses de routine des flux applicatifs, de la source et de la destination
ainsi que de l’utilisation du réseau peuvent utiliser les indicateurs réseau pour détecter rapidement les attaques. La
configuration d’alarmes en cas de déviation du référentiel et de conditions anormales automatise bon nombre des tâches
de surveillance les plus répétitives. Lorsqu’une attaque finit par se produire, vous êtes muni d’informations détaillées
pour une réponse et une restauration rapides et efficaces. Grâce au déploiement d’outils performants d’analyse du réseau
au sein de votre infrastructure, vous êtes en mesure de gérer les attaques, quel que soit le point d’origine des attaques
ou la défense qui a fait défaut. Visual UpTime Select vous fournit la visibilité et les fonctionnalités d’analyse nécessaires
pour détecter les attaques, limiter les dégâts et rétablir les activités qui limitent les risques et l’exposition à des failles
de sécurité.
N E T W O R K S U P E R V I S I O N
Fluke Networks
1 « The New Economics of Information Security », Lawrence Gordon et Robert Richardson, P.O. Box 777, Everett, WA USA 98206-0777
Magazine Optimize, avril 2004, numéro 30
Fluke Networks est présent dans plus de 50 pays.
2 Corporate Losses From Internet-Based Attacks Average $2 Million, Pour connaître les coordonnées du bureau le plus proche,
rendez-vous à l’adresse www.flukenetworks.com/contact.
TechWeb.com, 6 juillet 2004
©2006 Fluke Corporation. Tous droits réservés.
3 Rapport Internet Security Threat Report de Symantec, tendances du Imprimé aux Etats-Unis. 11/2006 3025488 D-FRN-N Rév. A
1er janvier 2004 au 30 juin 2004